你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure 密钥保管库警报

本文列出了从 Microsoft Defender for Cloud 获取的 Azure 密钥库 以及启用的任何 Microsoft Defender 计划的安全警报。 环境中显示的警报取决于要保护的资源和服务以及自定义的配置。

注意

某些最近添加的、由 Microsoft Defender 威胁智能和 Microsoft Defender for Endpoint 提供支持的警报可能未记录。

了解如何响应这些警报

了解如何导出警报

注意

来自不同源的警报可能在不同的时间后出现。 例如,需要分析网络流量的警报的出现时间,可能比虚拟机上运行的可疑进程的相关警报要晚一些。

Azure Key Vault 警报

更多详细信息和说明

从可疑 IP 地址访问密钥保管库

(KV_SuspiciousIPAccess)

说明:Microsoft威胁情报识别为可疑 IP 地址的 IP 已成功访问密钥保管库。 这可能表示基础结构已遭入侵。 建议进一步调查。 详细了解 Microsoft 威胁智能功能

MITRE 策略:凭据访问

严重性:中等

从 TOR 退出节点访问密钥保管库

(KV_TORAccess)

说明:已从已知的 TOR 退出节点访问密钥保管库。 这可能表示有威胁参与者访问了密钥保管库且正在使用 TOR 网络隐藏其源位置。 建议进一步调查。

MITRE 策略:凭据访问

严重性:中等

密钥保管库中存在大量操作

(KV_OperationVolumeAnomaly)

说明:用户、服务主体和/或特定密钥保管库执行了异常数量的密钥保管库操作。 这种异常活动模式可能是合法的,但可能是表明威胁参与者已获取对密钥保管库及其中包含的机密的访问权限。 建议进一步调查。

MITRE 策略:凭据访问

严重性:中等

密钥保管库中存在可疑的策略更改和机密查询

(KV_PutGetAnomaly)

说明:用户或服务主体已执行异常保管库放置策略更改操作,后跟一个或多个机密获取操作。 此模式通常不是指定用户或服务主体执行的。 这可能是合法的活动,但可能表明威胁参与者已更新密钥保管库策略以访问以前无法访问的机密。 建议进一步调查。

MITRE 策略:凭据访问

严重性:中等

密钥保管库中存在可疑的机密列出和查询活动

(KV_ListGetAnomaly)

说明:用户或服务主体已执行异常的机密列表操作,后跟一个或多个机密获取操作。 此模式通常不是指定用户或服务主体执行的,而且通常与机密转储相关。 这可能是合法的活动,但它可能是表明威胁参与者已获得对密钥保管库的访问权限,并尝试发现可用于横向移动的机密,并/或获取对敏感资源的访问权限。 建议进一步调查。

MITRE 策略:凭据访问

严重性:中等

异常访问被拒绝 - 对大量密钥保管库的用户访问被拒绝

(KV_AccountVolumeAccessDeniedAnomaly)

说明:用户或服务主体在过去 24 小时内尝试访问异常大量的密钥保管库。 此异常访问模式可能是合法的活动。 尽管此尝试失败,但它可能表明:用户或主体可能在尝试访问密钥保管库及其中包含的机密。 建议进一步调查。

MITRE 策略:发现

严重性:低

异常访问被拒绝 - 对密钥保管库的异常用户访问被拒绝

(KV_UserAccessDeniedAnomaly)

说明:密钥保管库访问是由通常不访问密钥保管库的用户尝试的,这种异常访问模式可能是合法的活动。 尽管此尝试失败,但它可能表明:用户或主体可能在尝试访问密钥保管库及其中包含的机密。

MITRE 策略:初始访问、发现

严重性:低

异常应用程序访问了密钥保管库

(KV_AppAnomaly)

说明:密钥保管库已被通常不访问它的服务主体访问。 这种异常访问模式可能是合法的活动,但可能是表明威胁参与者在尝试访问密钥保管库中包含的机密时已获得对密钥保管库的访问权限。 建议进一步调查。

MITRE 策略:凭据访问

严重性:中等

密钥保管库中存在异常操作模式

(KV_OperationPatternAnomaly)

说明:密钥保管库操作的异常模式是由用户、服务主体和/或特定密钥保管库执行的。 这种异常活动模式可能是合法的,但可能是表明威胁参与者已获取对密钥保管库及其中包含的机密的访问权限。 建议进一步调查。

MITRE 策略:凭据访问

严重性:中等

异常用户访问了密钥保管库

(KV_UserAnomaly)

说明:用户已访问密钥保管库,该密钥保管库通常不对其进行访问。 这种异常访问模式可能是合法的活动,但可能是表明威胁参与者在尝试访问密钥保管库中包含的机密时已获得对密钥保管库的访问权限。 建议进一步调查。

MITRE 策略:凭据访问

严重性:中等

异常用户-应用程序对访问了密钥保管库

(KV_UserAppAnomaly)

说明:用户服务主体对已访问密钥保管库,该对通常无法访问密钥保管库。 这种异常访问模式可能是合法的活动,但可能是表明威胁参与者在尝试访问密钥保管库中包含的机密时已获得对密钥保管库的访问权限。 建议进一步调查。

MITRE 策略:凭据访问

严重性:中等

用户访问了大量密钥保管库

(KV_AccountVolumeAnomaly)

说明:用户或服务主体访问了异常大量的密钥保管库。 这种异常访问模式可能是合法的活动,但它可能表明威胁参与者已获取对多个密钥保管库的访问权限,试图访问它们中包含的机密。 建议进一步调查。

MITRE 策略:凭据访问

严重性:中等

已拒绝从可疑 IP 访问密钥保管库

(KV_SuspiciousIPAccessDenied)

说明:Microsoft威胁情报标识为可疑 IP 地址的 IP 尝试了密钥保管库访问失败。 尽管此次尝试失败,但这表明你的基础结构可能已遭入侵。 建议进一步调查。

MITRE 策略:凭据访问

严重性:低

从可疑 IP(非Microsoft或外部)异常访问密钥保管库

(KV_UnusualAccessSuspiciousIP)

说明:用户或服务主体在过去 24 小时内尝试从非Microsoft IP 对密钥保管库进行异常访问。 此异常访问模式可能是合法的活动。 它可能表明:用户或主体可能在尝试访问密钥保管库及其中包含的机密。 建议进一步调查。

MITRE 策略:凭据访问

严重性:中等

注意

对于处于预览状态的警报:Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

后续步骤